polÍtica de proteÇÃo de dados pessoais§ão_de_dado… · as unidades de saúde serão, ainda,...
TRANSCRIPT
POLÍTICA DE PROTEÇÃO DE DADOS PESSOAIS
RGPD & GRUPO LUSÍADAS SAÚDE
DADOS PESSOAIS
RESPONSÁVEL PELO TRATAMENTO DOS SEUS DADOS PESSOAIS
CATEGORIAS DE DADOS PESSOAIS QUE TRATAMOS E MEIOS DE RECOLHA
FINALIDADES DO TRATAMENTO
FUNDAMENTOS LEGAIS PARA O TRATAMENTO
PESSOAL AUTORIZADO A ACEDER AOS SEUS DADOS
PRAZOS DE CONSERVAÇÃO DE DADOS
OS SEUS DIREITOS
TRATAMENTO DE DADOS NOS WEBSITES DO GRUPO LUSÍADAS
COMUNICAÇÕES DE DADOS
TRANSFERÊNCIAS INTERNACIONAIS DE DADOS
MEDIDAS DE SEGURANÇA ADOTADAS
RECLAMAÇÕES
COMO PODE CONTACTAR-NOS
ALTERAÇÕES À POLÍTICA
RGPD & GRUPO LUSÍADAS SAÚDE
O Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016
(“Regulamento Geral sobre a Proteção de Dados” ou “RGPD”) veio introduzir alterações significativas
no regime de proteção de dados a nível da União Europeia, acompanhando o aumento da capacidade
e necessidade de tratamento de dados pessoais e a, também crescente, preocupação com a proteção
destes dados.
O Grupo Lusíadas Saúde (“Grupo Lusíadas”) age de forma a acautelar a proteção dos dados dos seus
Clientes, na medida em que procede ao tratamento de dados pessoais quer no âmbito da prestação
de cuidados de saúde, quer para cumprimento das nossas obrigações legais, no contexto da prestação
de serviços que lhe prestamos nas nossas Unidades de Saúde, melhor identificadas em
https://www.lusiadas.pt/pt/unidades/Paginas/home.aspx.
O tratamento de dados é fundamental para continuarmos a assegurar elevados padrões de qualidade
em áreas como o diagnóstico médico, a medicina preventiva e a gestão dos serviços de saúde.
2
Reunimos, nesta Política de Proteção de Dados Pessoais (“Política”), os principais pontos relativos ao
tratamento dos seus dados pessoais, assegurando assim que lhe prestamos informação de forma
concisa, transparente, inteligível e de fácil acesso.
DADOS PESSOAIS
De acordo com o RGPD, deve ser considerado dado pessoal, qualquer informação, de qualquer
natureza e independentemente do respetivo suporte, incluindo som e imagem, relativa a uma pessoa
singular identificada ou identificável (titular dos dados). Considera-se identificável a pessoa que possa
ser identificada direta ou indiretamente, designadamente por referência a um número de identificação
ou a mais elementos específicos da sua identidade física, fisiológica, psíquica, económica, cultural ou
social.
Os dados pessoais poderão ter uma natureza mais sensível em determinadas situações, classificando-
os o RGPD como “categorias especiais de dados”. Estes podem versar sobre a origem racial ou étnica
do seu titular, as suas opiniões políticas, as suas convicções religiosas ou filosóficas, informação
genética, identificadores biométricos, vida sexual, orientação sexual ou sobre a sua saúde.
São “dados relativos à saúde” dados pessoais relacionados com a saúde física ou mental de uma pessoa
singular, incluindo a prestação de serviços de saúde, que revelem informações sobre o seu estado de
saúde passado, presente ou futuro.
RESPONSÁVEL PELO TRATAMENTO DOS SEUS DADOS PESSOAIS
Por regra, quando um Cliente se dirige a uma das nossas Unidades de Saúde, são as Unidades de Saúde
que lhe prestam serviços e são igualmente elas que determinam as finalidades e meios de tratamento
dos seus dados no contexto dessa prestação. Como tal, estas deverão ser consideradas como as
entidades Responsáveis pelo Tratamento dos dados pessoais do Cliente, nos termos do RGPD.
Quando for atendido numa das Unidades de Saúde, a entidade Responsável pelo Tratamento dos
dados necessários à prestação dos serviços de saúde (por ex., para efeitos de medicina preventiva,
diagnóstico médico, gestão administrativa das fichas clínicas, marcações de consultas e exames,
admissão e entrega de exames, prescrição eletrónica de medicamentos e de exames complementares
de diagnóstico) será a Unidade de Saúde que lhe preste tais serviços.
3
As Unidades de Saúde serão, ainda, responsáveis pelo tratamento de dados realizado para as
finalidades relacionadas com a auditoria interna e compliance dos sistemas e processos das Unidades
de Saúde, proteção de pessoas e bens e segurança das instalações das Unidades (através de
videovigilância).
O nosso centro de serviços corporativos que agrega todas as Unidades de Saúde, o Lusíadas A.C.E.,
será o responsável pelo tratamento no âmbito do marketing de produtos e serviços das Unidades
Hospitalares, bem como para efeitos da comunicação externa com os média e a realização de eventos.
CATEGORIAS DE DADOS PESSOAIS QUE TRATAMOS E MEIOS DE RECOLHA
Procedemos à recolha dos seus dados diretamente, designadamente, quando o Cliente marca uma
consulta ou exame, quando vai a uma consulta/faz um exame, quando nos contacta ou quando utiliza
“O Meu Portal” (https://omeuportal.lusiadas.pt/). Podemos receber os seus dados pessoais de forma
indireta através dos nossos prestadores de serviços que lhe prestam serviços em nosso nome ou dos
nossos parceiros. Poderá encontrar mais informações sobre os dados que partilhamos com outras
entidades na secção “COMUNICAÇÕES DE DADOS” abaixo.
Os seus dados pessoais tratados podem incluir dados pessoais direta ou indiretamente relacionados
com a sua saúde. Os dados pessoais assinalados com um * são de fornecimento obrigatório.
CATEGORIAS DE DADOS PESSOAIS MEIOS DE RECOLHA
Nome*, data de nascimento*, sexo*, número de
telefone/telemóvel* e NIF*;
Restantes dados de identificação, tais como: nº do
cartão de Utente, País, Distrito e Conselho de
Nascimento, profissão, situação profissional, centro de
saúde, médico de família, estado civil, nome do
cônjuge, nome do pai, nome da mãe (caso Cliente seja
menor), dados relacionados com o seu seguro ou
subsistema de saúde (quando pretenda que os serviços
Quando é criada a ficha de cliente, seja
pessoalmente no balcão de uma das
nossas Unidades de Saúde ou através de
meios telefónicos ou informáticos
4
prestados pela Unidade de Saúde sejam abrangidos
pelos mesmos)
Número de cliente (informação cifrada que permite ao
sistema identificar o cliente)
No momento de criação de abertura de
ficha de Cliente
Informações sobre as suas marcações, consultas ou
exames (incluindo a Unidade de Saúde, a data e hora
da marcação, a especialidade do médico, o exame a
realizar/realizado, dados constantes da prescrição
médica, entre outros necessários à prestação dos
serviços); gravação da chamada, caso a
marcação/pedido de esclarecimento/reclamação seja
feita através do Contact Center
Quando efetua uma marcação/quando
solicita informações através dos vários
canais (e-mail, telefone e websites do
Grupo Lusíadas)
Informações sobre a sua saúde, incluindo: motivo da
consulta/ato, antecedentes pessoais (doenças de
infância, imunizações, hábitos, história ginecológica,
alergias, medicação, doenças ativas, doenças inativas),
antecedentes familiares (situações mais frequentes –
diabetes, HTA, TP, cancro, vivo/falecido, causa de
morte), exame clínico, diagnósticos, exames
complementares, encaminhamento, alertas (diabetes,
hipertensão, etc.), grupo sanguíneo; medicamentos
prescritos, identificação do prescritor, código do local
de prescrição e dados da receita e regime especial de
comparticipação; ato e rúbrica do episódio realizado,
data de início e fim do episódio, estado do episódio,
profissional de saúde que executou o episódio, nº de
episódio, tipo de episódio, indicação se existem
resultados do episódio e identificador desses
resultados.
No decurso da prestação de cuidados de
saúde integrados, incluindo para a gestão
dos sistemas e serviços da Unidade de
Saúde
5
Dados genéticos e dados relativos à vida sexual e
orientação sexual
A sua opinião sobre nós Quando o Cliente participa nos nossos
inquéritos/questionários de satisfação ou
preenche o “Fale Connosco”
https://www.lusiadas.pt/pt/Paginas/falec
onnosco.aspx
Dados de identificação e de contacto, para efeitos de
marketing de serviços e produtos das Unidades de
Saúde, tais como: nº de telemóvel, endereço de correio
eletrónico
Quando o Cliente tenha consentido no
tratamento de dados para essa finalidade
Informações sobre como usa os nossos websites, tais
como: IP do dispositivo que utiliza para lhes aceder, a
data e hora do início e fim da visita aos websites,
histórico do browser do utilizador ou informação
recolhida através de cookies
Quando utiliza os nossos websites, nos
termos das Políticas de Privacidade e de
Cookies desses websites
https://www.lusiadas.pt/pt/Paginas/direi
tos.aspx
https://www.lusiadas.pt/pt/paginas/cook
ies.aspx
Imagem Quando visita as nossas instalações e
estejam instaladas câmaras de
videovigilância, para garantir a segurança
de pessoas e bens
FINALIDADES DO TRATAMENTO
Os dados pessoais dos Clientes são tratados para a prestação de cuidados de saúde, incluindo para a
gestão dos sistemas e serviços das Unidade de Saúde. Caso o Cliente decida disponibilizar os seus
dados pessoais para outras finalidades, bem como se as Unidades de Saúde estiverem adstritas ao
6
cumprimento de obrigações legais que exijam o tratamento dos seus dados pessoais, poderemos
tratar esses dados para os efeitos relevantes. Neste sentido, usamos os seus dados pessoais para as
seguintes finalidades:
Prestação de cuidados de
saúde
De forma a podermos prestar os nossos serviços, utilizamos as suas
informações acima referidas para efeitos de medicina preventiva,
marcação de consultas, marcação de exames, diagnóstico médico,
para fornecer cuidados de saúde, para prescrição eletrónica de
medicamentos e exames complementares e para a gestão dos
sistemas e serviços das várias Unidades de Saúde
Gestão da relação com o
Cliente
Podemos contactá-lo por carta, e-mail, SMS ou através do “O Meu
Portal”, por motivos administrativos ou operacionais, por exemplo,
de modo a enviar-lhe a confirmação das suas marcações e dos seus
pagamentos, para o informar sobre quaisquer alterações ou
imprevistos acerca das suas marcações.
Dado que estas comunicações não são realizadas para efeitos de
marketing, continuará a recebê-las ainda que tenha optado por não
receber comunicações de marketing. Também vamos utilizar os
seus dados pessoais para responder aos seus pedidos, sugestões,
contactos ou reclamações.
Atividades de suporte Podemos ainda tratar os seus dados pessoais para efeitos de gestão
administrativa e financeira, a proteção de pessoas e bens e
segurança das instalações (videovigilância), a realização de
auditorias, deteção e análise de fraude, para a declaração, exercício
e defesa de direitos em processos judiciais, bem como para o
desenvolvimento e manutenção de sistemas.
Cumprimento de obrigações
legais
Nomeadamente, a obrigação de fornecer os seus dados pessoais à
Administração Central do Sistema de Saúde (“ACSS”) e a outras
entidades públicas da área da saúde, bem como aos Tribunais,
Solicitadores e aos órgãos de polícia criminal, no exercício dos seus
7
poderes e atribuições (para saber mais acerca das categorias de
destinatários dos seus dados pessoais, consulte a secção
“COMUNICAÇÕES DE DADOS”, abaixo).
FUNDAMENTOS LEGAIS PARA O TRATAMENTO
Tratamos sempre os seus dados pessoais no estrito cumprimento da lei. De acordo com o RGPD, para
que seja licito tratar os dados, o responsável pelo tratamento deve ter sempre um fundamento de
licitude adequado para tal. Assim, em consonância com a legislação aplicável, o tratamento dos seus
dados pessoais poderá basear-se nos seguintes fundamentos:
Finalidade Fundamento
Prestação de cuidados de saúde aos nossos
clientes e gestão da relação entre o Cliente e as
Unidades de Saúde
Execução do contrato de prestação de serviços
de saúde celebrado com os Clientes, ou
execução de diligências pré-contratuais a
pedido dos Clientes (por ex., quando esteja em
causa a marcação de uma consulta ou ato
clínico);
Quando o tratamento incidir sobre categorias
especiais de dados, como os dados de saúde, o
tratamento será baseado na sua necessidade
para efeitos de medicina preventiva,
diagnóstico médico, prestação de cuidados ou
tratamentos de saúde
Cumprimento de obrigações legais Necessidade do tratamento para o efeito do
cumprimento de obrigações jurídicas do
Responsável pelo Tratamento. Caso tais
tratamentos envolvam categorias especiais de
dados pessoais – por ex., informação relativa
aos medicamentos prescritos –, os
8
tratamentos fundar-se-ão na gestão de
sistemas e serviços das Unidades de Saúde
Envio da E-News O tratamento é prosseguido com base no
interesse legítimo do responsável pelo
tratamento, ou seja, da Lusíadas A.C.E. Caso
deixe de querer receber a E-News não queira
receber mais comunicações de marketing da
nossa parte, basta clicar no link de
cancelamento de subscrição na parte inferior
de qualquer comunicação de marketing que
receba da nossa parte.
Informar o Cliente sobre notícias do seu interesse
e para personalizar e melhorar a sua experiência
enquanto cliente
Estes tratamentos são efetuados com
fundamento no consentimento dos titulares
dos dados, ou seja, dos Clientes.
Poderá retirar o seu consentimento a qualquer
momento. Chamamos, no entanto, a atenção
para o facto de a retirada do consentimento
não prejudicar a licitude do tratamento
efetuado com base no consentimento
previamente dado. Para mais informações
acerca dos seus direitos à luz do RGPD,
consulte a secção “OS SEUS DIREITOS”, abaixo.
Inquéritos de avaliação da satisfação dos clientes Estes tratamentos são efetuados com
fundamento no consentimento dos Clientes.
Poderá retirar o seu consentimento a qualquer
momento. Chamamos, no entanto, a atenção
para o facto de a retirada do consentimento
não prejudicar a licitude do tratamento
efetuado com base no consentimento
previamente dado. Para mais informações
9
acerca dos seus direitos à luz do RGPD,
consulte a secção “OS SEUS DIREITOS”, abaixo.
PESSOAL AUTORIZADO A ACEDER AOS SEUS DADOS
O nosso sistema de controlo de acessos garante que apenas médicos e profissionais de saúde adstritos
à prestação dos seus cuidados de saúde e sob obrigação de sigilo profissional acedem a estes dados.
Nos casos em que assim não seja, quando os seus dados de saúde e outras categorias especiais de
dados forem acedidos por colaboradores não adstritos a obrigações de sigilo profissional,
asseguraremos que tais colaboradores assumem obrigações de confidencialidade adequadas e que
tais pessoas apenas tratarão os seus dados sob a responsabilidade e supervisão de um profissional
sujeito a obrigação de sigilo profissional.
Entre os casos em que o pessoal administrativo tem acesso aos seus dados de saúde e outras categorias
especiais de dados encontram-se o tratamento de dados para efeito de faturação dos serviços de
saúde que lhe são prestados, para efeito da marcação de consultas e atos clínicos ou para gestão dos
seus pedidos de informação ou reclamações.
PRAZOS DE CONSERVAÇÃO DE DADOS
O período de conservação dos seus dados pessoais irá variar de acordo com a finalidade para que são
tratados. Geralmente, os dados pessoais que recolhemos são conservados em formato que possibilite
a identificação dos titulares apenas durante o período estritamente necessário à prossecução das
finalidades subjacentes ao seu tratamento. No entanto, em certos casos, poderão existir obrigações
legais às quais estejamos vinculados e que nos obriguem a conservar os seus dados durante um
período de tempo mais alargado. Designadamente, os dados relativos à saúde são conservados nos
termos da legislação aplicável ao arquivo da documentação hospitalar, excetuando (i) os dados
necessários à prescrição eletrónica de medicamentos, que serão conservados nos termos da Portaria
nº 224/2015, de 27 de julho, alterada pela Portaria nº 417/2015, de 4 de dezembro, e (ii) os dados
necessários à faturação dos serviços prestados nas Unidades de Saúde, que serão conservados pelo
prazo de 10 anos.
10
Adicionalmente, procuramos observar o período de conservação adequado das várias deliberações da
Comissão Nacional de Proteção de Dados, no que toca, p.ex., à conservação das chamadas que
gravamos para prova de transações comerciais e para monitorização da qualidade de atendimento,
para a conservação de logs de acesso ao “Meu Portal” ou no contexto da videovigilância.
OS SEUS DIREITOS
De acordo com o regime legal de proteção de dados aplicável, o titular dos dados poderá solicitar, a
todo o tempo, o acesso aos dados pessoais que lhe digam respeito, bem como a sua retificação,
eliminação ou a limitação do seu tratamento, a portabilidade dos seus dados, ou poderá opor-se ao
seu tratamento. Poderá exercer estes direitos através dos contactos indicados em “CONTACTE-NOS”
abaixo ou através de contacto presencial no balcão da Unidade de Saúde em causa.
Os seus direitos à luz da legislação aplicável no âmbito da proteção de dados consistem em:
Direito de Acesso: o direito de confirmar se os seus dados pessoais são ou não objeto de tratamento,
bem como o direito de aceder aos seus dados pessoais e a determinadas informações, incluindo a
obter uma cópia dos seus dados pessoais em fase de tratamento. Este direito não prejudica os direitos
e liberdades de terceiros, nomeadamente os segredos de negócio e os direitos de propriedade
intelectual do responsável pelo tratamento;
Direito de Retificação: o direito de obter a retificação dos dados pessoais inexatos que lhe digam
respeito, bem como o direito a completar os seus dados, caso estes se encontrem incompletos;
Direito ao Apagamento: o direito de solicitar o apagamento dos seus dados em determinados casos,
designadamente, se os seus dados pessoais deixarem de ser necessários para a finalidade que motivou
a sua recolha ou tratamento. Este direito não prejudica o cumprimento das obrigações legais de
conservação de dados pessoais que impendem sobre o responsável pelo tratamento;
Direito à Limitação do Tratamento: o direito de solicitar a limitação do tratamento dos seus dados em
determinados casos, nomeadamente, se o tratamento for ilícito e se se opuser ao apagamento dos
dados, solicitando, em contrapartida, a limitação da sua utilização;
Direito de Portabilidade dos Dados: o direito de receber os seus dados pessoais que tenha fornecido
ao responsável pelo tratamento, num formato estruturado, de uso corrente e de leitura automática,
incluindo, ainda, o direito de transmitir esses dados a outro responsável pelo tratamento;
11
Direito de Oposição, o que significa que, em determinados casos (p.ex., quando os seus dados pessoais
sejam tratados para efeitos de comercialização direta), se pode opor a qualquer momento, por
motivos relacionados com a sua situação particular, ao tratamento dos seus dados.
Nos termos da lei, é-lhe ainda garantido o direito de, através dos meios acima referidos, retirar o seu
consentimento para os tratamentos de dados relativamente aos quais o consentimento constitui o
fundamento de legitimidade, o que não invalida, no entanto, o tratamento efetuado até essa data com
base no consentimento previamente dado.
O acima disposto aplica-se, com as necessárias adaptações, ao exercício de direitos, por parte do titular
das responsabilidades parentais ou tutor, em nome e por conta de titulares dos dados que sejam
menores de 16 anos ou incapazes.
Caso considere que a maneira como tratamos os seus dados não se encontra em conformidade com a
legislação de proteção de dados em vigor informamos que, sem prejuízo de qualquer outra via de
recurso administrativo ou judicial, tem a possibilidade de apresentar reclamação à Comissão Nacional
de Proteção de Dados ou a outra autoridade de controlo neste âmbito.
TRATAMENTO DE DADOS NOS WEBSITES DO GRUPO LUSÍADAS
A presente Política aplica-se integralmente a todos os utilizadores dos websites do Grupo Lusíadas. No
entanto, dada a especificidade inerente à utilização dos mesmos (designadamente, “O Meu Portal”),
foram elaboradas Políticas de Privacidade e específicas as quais podem ser consultadas nos links:
https://www.lusiadas.pt/pt/Paginas/direitos.aspx e https://omeuportal.lusiadas.pt/Home/Terms.
COMUNICAÇÕES DE DADOS A TERCEIROS
As Unidades de Saúde poderão transmitir os seus dados entre si, quando tal seja necessário para
prestar ao Cliente cuidados de saúde de elevada qualidade. Poderemos, também, recorrer a entidades
subcontratadas para a prestação de determinados serviços, com base em acordos de subcontratação
e de acordo com os requisitos da legislação aplicável. Poderemos, ainda, transmitir os dados pessoais
dos nossos Clientes a entidades terceiras quando julguemos que tais comunicações de dados são
necessárias ou adequadas (i) à luz da lei aplicável, (ii) no cumprimento de obrigações jurídicas/ordens
judiciais e (iii) para responder a solicitações de autoridades públicas ou governamentais.
12
Neste sentido, poderemos transmitir os seus dados pessoais à Entidade Reguladora da Saúde, à ACSS,
aos Serviços Partilhados do Ministério da Saúde (SPMS), ao INFARMED ou às Administrações Regionais
da Saúde, aos Tribunais, Solicitadores, aos órgãos de polícia criminal ou ao Ministério Público quando
seja notificado para o efeito ou quando tal seja necessário para o cumprimento de obrigações jurídicas,
conforme legalmente previsto.
Para que os serviços prestados pela Unidade de Saúde sejam abrangidos pelo seu seguro ou
subsistema de saúde, os seus dados pessoais, incluindo os dados de saúde relacionados com tais
serviços, poderão ainda ser comunicados à Companhia de Seguros ou ao subsistema de saúde de que
seja beneficiário, sendo que estes são obrigados a sigilo e serão responsáveis autónomos pelo
tratamento dos seus dados.
Em qualquer das situações acima mencionadas, comprometemo-nos a tomar todas as medidas
razoáveis para garantir a proteção efetiva dos dados pessoais que tratamos.
TRANSFERÊNCIAS INTERNACIONAIS DE DADOS
Caso a prestação de serviços pelo Grupo Lusíadas implique a transferência dos seus dados pessoais
para países terceiros (que não pertençam à União Europeia ou ao Espaço Económico Europeu),
incluindo para Companhias de Seguros ou Corretores de Seguros estrangeiros, o Grupo Lusíadas
implementará as medidas necessárias e adequadas à luz da lei aplicável para assegurar a proteção dos
dados pessoais objeto de uma tal transferência, cumprindo rigorosamente as disposições legais
relativamente aos requisitos aplicáveis a tais transferências.
MEDIDAS DE SEGURANÇA ADOTADAS
Tomando em consideração o estado-da-arte, os custos de implementação associados e a natureza,
escopo, contexto e finalidades do tratamento de dados, bem como os riscos de probabilidade e grau
variáveis para os direitos e liberdades dos titulares dos dados, adotámos as medidas técnicas e
organizativas adequadas com vista a assegurar um nível de segurança ajustado a tais riscos, tais como:
A pseudonimização e a cifragem dos dados pessoais, quando possível;
A capacidade de assegurar a confidencialidade, integridade, disponibilidade e resiliência
permanentes dos sistemas e dos serviços de tratamento;
13
A capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais de forma
atempada no caso de um incidente físico ou técnico;
Um processo para testar, apreciar e avaliar regularmente a eficácia das medidas técnicas e
organizativas para garantir a segurança do tratamento.
COMO PODE CONTACTAR-NOS
O Grupo Lusíadas nomeou um Encarregado da Proteção de Dados. Se tiver questões ou sugestões
relativamente à Política ou a práticas de tratamento de dados pessoais, entre em contacto connosco
enviando um email para [email protected], ou através da seguinte morada:
Grupo Lusíadas Saúde
A/C Encarregado de Proteção de Dados
Rua Laura Alves, 12 - 5º
Lisboa, Portugal
ALTERAÇÕES À POLÍTICA
Poderemos implementar alterações ou atualizações à presente Política a qualquer momento.
Qualquer alteração por nós implementada será devidamente atualizada nos nossos websites e no
Portal. Caso estas impliquem uma alteração substancial relativamente à forma como os seus dados
serão tratados, notificá-lo-emos de tais alterações, através dos dados de contacto que nos tenha
disponibilizado.
Data da última atualização: 07 de junho de 2019